In unserer Miniserie liefern wir Ihnen Wissenswertes zum Payment Card Industry Data Security Standard. Starten Sie gut informiert in Ihre PCI DSS Zertifizierung.
Was sind die Anforderungen des PCI DSS?
Der PCI DSS v4.0 umfasst insgesamt 6 Kontrollziele, die sich in 12 Hauptanforderungen aufgliedern. Den vollständigen Standard mit allen Einzelanforderungen können Sie auf der Webseite des PCI Security Standards Council einsehen. Die Anforderungen sind sowohl technischer als auch organisatorischer und dokumentarischer Natur.
Kontrollziele & zugehörige Hauptanforderungen
1. Aufbau und Wartung eines sicheren Netzwerks und sicherer Systeme
1) Installation und Wartung von Netzsicherheitskontrollen
2) Anwendung von sicheren Konfigurationen auf alle Systemkomponenten
2. Schutz von Kontodaten
3) Schutz von gespeicherten Kontodaten
4) Schutz von Karteninhaberdaten mit starker Kryptographie während der Übertragung über offene, öffentliche Netzwerke
3. Wartung eines Programms zur Verwaltung von Schwachstellen
5) Schutz aller Systeme und Netzwerke vor bösartiger Software
6) Entwicklung und Wartung sicherer Systeme und Software
4. Implementierung starker Zugriffskontrollmaßnahmen
7) Beschränkung des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach geschäftlichem Bedarf
8) Identifizierung von Benutzern und Authentisierung von Zugriff auf Systemkomponenten
9) Beschränkung des physischen Zugriffs auf Karteninhaberdaten
5. Regelmäßige Überwachung und Prüfung der Netzwerke
10) Protokollierung und Überwachung aller Zugriffe auf Systemkomponenten und Karteninhaberdaten
11) Regelmäßige Prüfung der Sicherheit von Systemen und Netzwerken
6. Beibehaltung einer Informationssicherheitspolitik
12) Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme
In vielen Fällen von Kreditkartendiebstahl wird im Nachgang festgestellt, dass eine oder mehrere der PCI DSS-Anforderungen nicht umgesetzt wurden. Zahlreiche Untersuchungen haben ergeben, dass über 75 % aller Angriffe durch relativ einfache Maßnahmen und geringen (finanziellen) Aufwand hätten vermieden werden können.
Die Einhaltung aller PCI DSS-Anforderungen (Compliance) gewährleistet nicht nur ein spürbar höheres Sicherheitsniveau in Ihrem gesamten Unternehmen, sondern verhilft Ihnen auch zu folgenden Vorteilen:
- Sie können Risiken bei der Verarbeitung von Kreditkarten- und sonstigen Kundendaten identifizieren
- Sie zeigen Ihren Kunden, dass Sie die Sicherheit ihrer Daten ernst nehmen
- Sie verbessern Ihren Schutz vor finanziellen Haftungsrisiken, Rechtskosten und Kosten zur Beweissicherung
- Sie vermeiden negative Presse
Wer muss die Anforderungen des PCI DSS erfüllen?
Jedes Unternehmen, das Kreditkartendaten speichert, verarbeitet, oder überträgt, muss die Anforderungen des PCI DSS erfüllen und dies einmal jährlich nachweisen.
Sie speichern, verarbeiten oder übertragen Kreditkartendaten, wenn Sie vollständige Nummern oder Gültigkeitsdaten von Kreditkarten Ihrer Kunden auf Ihren IT-Systemen empfangen, um sie selbst vorzuhalten oder an Dritte weiterzuleiten. Die zeitliche Dauer der Verarbeitung (kurzfristige oder langfristige Speicherung, Verarbeitung oder Weiterleitung) sowie die Verschlüsselung der Daten spielt dabei keine Rolle. Entscheidend ist der Empfang von kundenspezifischen Kreditkartendaten auf Ihren IT-Systemen.
Wie weise ich nach, dass ich die Anforderungen des PCI DSS erfülle?
Die Nachweispflicht gilt grundsätzlich für jedes Unternehmen, unabhängig von dessen Größe und der jährlichen Anzahl an getätigten Kreditkartentransaktionen. Lediglich die Stärke und der Umfang der Prüfmethoden, mit denen ein Unternehmen die Einhaltung des PCI DSS nachweisen muss, ändert sich auf Basis des jährlichen Transaktionsvolumens:
Kleine und mittelständische Handelsunternehmen und Service Provider können ihre PCI Compliance in der Regel durch eine Selbstauskunft nachweisen. Hierzu müssen sie aus einer Reihe unterschiedlicher Selbstauskunftsfragebögen (SAQ) den für ihr Unternehmen passenden auswählen und wahrheitsgetreu ausfüllen.
Große Handelsunternehmen und Service Provider müssen ihre PCI Compliance in der Regel durch eine umfangreiche Vor-Ort-Prüfung (Assessment) nachweisen, die durch einen vom PCI Council akkreditierten Qualified Security Assessor durchgeführt werden muss.
Haben Sie Fragen zu den Anforderungen des PCI DSS oder zu Ihrem PCI DSS-Compliance-Nachweis? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.